Sicherheitslücke: Login ohne Passwort mit LibSSH

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Artikel veröffentlicht am , Hanno Böck
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben.
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben. (Bild: Screenshot Webseite / Hanno Böck)

Eigentlich wäre es eine katastrophale Sicherheitslücke: Die Bibliothek LibSSH erlaubt es, beim Login den Authentifizierungsprozess zu überspringen. Clients können einfach durch das Senden einer falschen Protokollnachricht behaupten, dass der Nutzer bereits authentifiziert sei - und sich somit einloggen, ohne ein Passwort vorzuweisen.

Stellenmarkt
  1. Chief Product Owner Customer Happiness lexoffice (m/w/d)
    Haufe Group, Freiburg
  2. API-Entwicklerin (m/w/d)
    GASAG AG, Berlin
Detailsuche

Die Entwickler von LibSSH haben die Versionen 0.7.6 und 0.8.4 veröffentlicht, in denen das Problem behoben ist. Die Lücke hat die Id CVE-2018-10933 erhalten.

Wer LibSSH auf Server-Seite nutzt, sollte daher unbedingt sofort updaten - und muss möglicherweise damit rechnen, dass der Server bereits von Angreifern übernommen ist. Allerdings dürfte das nur wenige Personen tatsächlich betreffen, denn die Server-Funktion von LibSSH wird nicht sehr häufig genutzt.

Nur wenige Server mit LibSSH

Die Bibliothek LibSSH implementiert das SSH-Protokoll und wird auch von einer Reihe von Anwendungen genutzt, beispielsweise von KDE. Doch in den allermeisten Fällen nutzen Applikationen LibSSH nur, um clientseitig Verbindungen aufzubauen. Die sind jedoch von der Lücke nicht betroffen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Der einzige prominente Nutzer von LibSSH dürfte Github sein, die laut LibSSH-Webseite diese Bibliothek serverseitig nutzen. Allerdings erklärte Github in einem Tweet, dass man von der Lücke nicht betroffen gewesen sei. Der Grund: Man nutze LibSSH nur mit Public-Key-Authentifizierung und die sei ebenfalls nicht betroffen. Zur Sicherheit habe man bei Github das Update aber trotzdem eingespielt.

Einige Twitter-Nutzer berichten, dass sie mit Shodan einige Tausend verwundbare Geräte im gesamten Internet finden. Für die Betroffenen ist das natürlich relevant, aber zu Massenhacks wird es wohl nicht kommen.

Wer SSH auf Servern einsetzt, nutzt meist OpenSSH, im Embedded-Bereich und bei IoT-Geräten kommt häufig die Software Dropbear zum Einsatz. Beide Projekte sind von LibSSH völlig unabhängig und damit nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /